O Windows 10 S não é Imune a Ransomware, Apesar da Segurança e do Desempenho 'Otimizados'
Em um post de 8 de junho, o Centro de Protçao contra Malware (MMPC) da Microsoft escreveu sobre o quão catastróficos os efeitos de uma infecção generalizada por ransomware podem ser. Após o horrível surto do WannaCry, durante o qual os hospitais recorreram à rejeição de pacientes e ao reagendamento de operações cirúrgicas que salvavam vidas porque seus sistemas de computadores estavam inoperantes, é seguro dizer que não existe um ser humano sensato que tente argumentar com isso. Alguns parágrafos depois, no entanto, o pessoal da MMPC diz que 'nenhum ransomware conhecido funciona contra o Windows 10 S.' Essa afirmação ousada é mais discutível.
Índice
O Windows 10 Se Proclamando como Sendo à Prova de Ransomware
O Windows 10 S é, nas próprias palavras da Microsoft, "otimizado para segurança e desempenho". A configuração deve ser muito mais segura que as demais iterações do Windows, pois não permite a execução de aplicativos que não foram baixados da Windows Store. Considerando os problemas que os usuários enfrentaram com aplicativos e golpes falsos, alguns podem dizer que as reivindicações do Windows 10 S de maior proteção não passam de um truque para levar mais pessoas ao equivalente do Google Play da Microsoft. A verdade é que, no entanto, ainda precisamos ver ou ouvir sobre o ransomware sendo distribuído pela Windows Store; portanto, nesse aspecto específico, a restrição deve funcionar. Existem outras precauções que devem impedir um ataque de atores mal-intencionados. O acesso às ferramentas de script é negado e o mesmo vale para o prompt de comando e o PowerShell do Windows. Em suma, a alegação de que o Windows 10 S é à prova de ransomware pode apenas reter água. Essa é a teoria.
Pesquisadores investigam reivindicações de proteção do Windows 10 S Ransomware
A realidade, como você já deve ter adivinhado, é um pouco diferente. Zack Whittaker, do ZDNet, estava realmente interessado em testar as alegações da MMPC, e foi por isso que ele pegou um dos laptops Surface Windows 10 S da Microsoft, instalou todas as atualizações e depois disse a Matthew Hickey para fazer o seu pior. Hickey é um pesquisador de segurança e co-fundador da Hacker House, o que significa que ele sabe do que está falando. Três horas depois, quando o experimento terminou, ele disse estar surpreso com a facilidade com que era romper as defesas do Windows 10 S.
A incapacidade de executar comandos do shell ou arquivos regulares que não foram baixados da Windows Store significava que ele precisava recorrer ao humilde documento do Word com macros. Havia um problema: devido ao seu uso extensivo por chapéus pretos, por padrão, as macros são bloqueadas nos arquivos baixados da Internet. Quando eles são colocados em compartilhamentos de rede, no entanto, o Windows confia neles e, com alguma engenharia social, forçar a vítima a ativar o script malicioso não deve ser tão difícil.
A Luta Contra o Ransomware Ocorre Apesar da Façanha do Windows 10 S
As macros que Hickey escreveu injetou uma DLL em um dos processos em execução. Foi assim que ele conseguiu contornar as restrições da Windows Store. Em seguida, ele usou uma ferramenta popular de teste de penetração chamada Metasploit para baixar uma carga útil que usava a mesma técnica de injeção de DLL para assumir outro processo com privilégios de sistema. Como Hickey disse, a partir daí, era "game over".
O pesquisador conseguiu desativar o Windows Defender e fazer todo o tipo de coisas, incluindo a exibição da senha do Wi-Fi em texto simples. Em teoria, ele poderia ter infectado o laptop de Whittaker com ransomware, mas ele decidiu que tinha provado o ponto e que não seria necessário arriscar o resto dos sistemas na rede.
Cabe ressaltar que o ataque simulado não empregou explorações desconhecidas (os chamados dias zero) ou qualquer malware avançado. Só foi preciso bisbilhotar e algumas ferramentas publicamente disponíveis. No entanto, Whittaker e Hickey entraram em contato com a Microsoft em particular e perguntaram se eles reconsiderariam as afirmações ousadas feitas no post de 8 de junho. Redmond se recusou a reconhecer que o ransomware pode realmente ser implantado na edição S do Windows 10. Como sempre, você é quem deve tirar todas as conclusões.